Google Workspace Gmailの標準メールセキュリティ対策

はじめに

今回の記事は、いつの時代も悩みが尽きないメールセキュリティに関するお話です。メールの送受信には少なからずリスクが存在しており、お金をかければいろいろな対策が打てることはもちろんですが、セキュリティの向上は利便性の低下につながる場合もありさじ加減が難しいところだと思います。まずはお金かけずに始めましょうというところをご紹介していきます。

前提条件

今回の記事では下記の前提のもと記載していきます。

受信メールセキュリティ

受信メールのセキュリティでは、悪意のある第3者からの攻撃メールに対してどのような対応が標準機能で可能かを確認していきます。日本でよく利用されている添付ファイルの暗号化は、ファイルにパスワードがかけられてしまう関係上、受信した際のウイルスチェックが基本的に動作しません。添付ファイルにパスワードをつけて送る方法をPPAPと呼んだりしていますが、デジタル庁で利用はやめますと平井大臣が発言していたりしてHotなワードになっています。

2024年11月追記

Google Workspace Business StarterとFrontlineの除くプランでサンドボックス機能が利用できるようになりました。今まではEnterprise Plusの契約が必要だったため導入ハードルが高かった部分ですが良い変更だと思います。この後値上げとか言われなければ。。。
メーカーヘルプ記事

パスワードのかかったファイルを削除する

[管理コンソール]-[アプリ]-[Google Workspace ]-[Gmailの設定]-[コンプアライアンス]-[添付ファイルのコンプライアンス]で設定が可能です。

項目	設定値
名前	パスワード付きファイルブロック
影響を受けるメール	受信
条件	次の一部がメールに一致する場合
	暗号化されているOfficeドキュメント
	暗号化された圧縮ファイルとアーカイブ
処理	メッセージを変更
	添付ファイルを削除

これで期待通りの動きをしますが、そもそもパスワード付きファイルを全部削除して運用が成り立つのかはご検討いただく必要があります。この設定では、処理の部分をメール件名の先頭に[注意喚起：暗号化ファイル添付]など付加情報をつけることも可能になっています。これだけでも一定の効果が見込める可能性があります。

送信メールセキュリティ

Gmailにおける送信メールセキュリティリスクですが大きく分けて、宛先間違えと添付ファイルによる情報漏洩が上げらると思います。どちらも標準機能で可能な範囲を考えてみるとかなり苦しい形のご案内となります。(受信も苦しいのですが。。。)

特定のドメイン宛のメールにのみ添付ファイルを許可する

[管理コンソール]-[アプリ]-[Google Workspace ]-[Gmailの設定]-[コンプアライアンス]-[コンテンツコンプライアンス]で設定が可能です。条件は指定するドメインの数だけ追加してみてください。

項目	設定値
名前	特定の取引先に添付ファイルを許可する
影響を受けるメール
条件	次の一部がメールに一致する場合
	場所：受信者ヘッダー
	テキストを含まない
	<対象ドメイン>
処理	メッセージを変更
	添付ファイルを削除

これで指定されていないドメイン宛のメールに対する添付ファイルは自動削除される動きとなります。表示させるメッセージは管理画面で設定可能です。今回は<<管理者のポリシーにより、添付ファイルが削除されました。>>と表示させています。

この表示は受信した側にのみ表示されますので、送信した利用者は勝手に削除されていることに気づきません。受信した方からの連絡で初めて気づくパターンです。またこのやり方も万能ではありません。許可するドメインの宛先と許可しないドメインの宛先を一緒に指定すると許可しない宛先にも添付ファイルが届いてしまいます。

まとめ

今回は標準機能で実装可能なメールセキュリティについて触れてみました。受信設定に関してはそれなりの結果が出せることがわかりました。ただしURLによるフィッシング対策の実装は厳しいように思います。送信設定に関しては外部宛先メールには監査用のメーリングリストを強制的にCCに追加するなどの簡単な対策は可能ですが、指定ドメインにのみ添付ファイルを許可するなどはどうしても片手落ちな対策になってしまいます。どこまで対策が必要かは各社考え方が違うと思いますが、より強固なセキュリティを検討される場合は3rdパーティ製品の検討をお勧めしております。